Windows 安全中心应用中的设备安全性

内存完整性（也称为受虚拟机监控程序保护的代码完整性 (HVCI) 是一项 Windows 安全功能，使恶意程序难以使用低级别驱动程序来劫持你的电脑。

驱动程序是一个软件，在此示例中，操作系统 (Windows) ，设备 (（如键盘或网络摄像头）) 相互通信。 当设备希望 Windows 执行某些操作时，它会使用驱动程序发送该请求。

内存完整性的工作原理是使用 硬件虚拟化创建独立环境。

请把它想象成在上锁的隔间里的保安。 这种隔离环境（在类比中是上锁的隔间）防止了内存完整性功能被攻击者篡改。 想要运行一段可能危险的代码的程序必须将代码传递给该虚拟隔间内的内存完整性，以便对其进行验证。 当内存完整性确信代码是安全的时，它会将代码交回 Windows 运行。 通常情况下，这发生得非常快。

如果不运行内存完整性， 安全防护在开放中脱颖而出，攻击者更容易干扰或破坏防护，使恶意代码更容易偷袭并导致问题。

可以使用切换按钮打开或关闭内存完整性。

如果它显示有不兼容的驱动程序，该怎么办？

如果内存完整性无法打开，可能会告诉你已安装不兼容的设备驱动程序。 请与设备制造商联系，看看他们是否有更新的驱动程序。 如果他们没有可用的兼容驱动程序，可能可以移除使用该不兼容驱动程序的设备或应用。

硬件强制堆栈保护是基于硬件的安全功能，使恶意程序难以使用低级驱动程序来劫持你的电脑。

驱动程序是一个软件，在此示例中，操作系统 (Windows) ，设备 (（如键盘或网络摄像头）) 相互通信。 当设备希望 Windows 执行某些操作时，它会使用驱动程序发送该请求。

硬件强制执行的堆栈保护的工作原理是防止在内核模式内存中修改返回地址以启动恶意代码的攻击。 此安全功能需要包含验证正在运行的代码的返回地址的功能的 CPU。

在内核模式下执行代码时，恶意程序或驱动程序可能会损坏内核模式堆栈上的返回地址，以便将正常代码执行重定向到恶意代码。 在支持的 CPU 上，CPU 在驱动程序无法修改的只读影子堆栈上维护有效返回地址的第二个副本。 如果修改了常规堆栈上的返回地址，CPU 可以通过检查影子堆栈上返回地址的副本来检测此差异。 发生此差异时，计算机会提示停止错误（有时称为蓝屏），以防止恶意代码执行。

并非所有驱动程序都与此安全功能兼容，因为少数合法驱动程序出于非恶意目的而进行返回地址修改。 Microsoft已与众多驱动程序发布者合作，以确保其最新驱动程序与硬件强制堆栈保护兼容。

可以使用切换按钮打开或关闭硬件强制堆栈保护。

若要使用硬件强制堆栈保护，必须启用内存完整性，并且必须运行支持 Intel Control-Flow 强制技术 或 AMD 影子堆栈的 CPU。

如果它显示我有不兼容的驱动程序或服务，该怎么办？

如果硬件强制的堆栈保护无法打开，它可能会告诉你已安装不兼容的设备驱动程序或服务。 请与设备制造商或应用程序发布者联系，了解它们是否有可用的更新驱动程序。 如果他们没有可用的兼容驱动程序，你可能能够删除使用该不兼容驱动程序的设备或应用。

某些应用程序可能会在应用程序安装期间安装服务而不是驱动程序，并且仅在应用程序启动时安装驱动程序。 为了更准确地检测不兼容的驱动程序，还会枚举已知与不兼容驱动程序关联的服务。

也称为 内核 DMA 保护，此安全功能可保护设备免受恶意设备插入外围设备组件互连 (PCI) 端口（如 Thunderbolt 端口）时可能发生的攻击。

其中一个攻击的简单例子是，如果有人离开电脑去喝咖啡，在他们不在的时候，攻击者会介入，插入类似 USB 的设备，然后从机器中拿走敏感数据，或者注入使其能够远程控制电脑的恶意软件。 

内存访问保护通过拒绝对这些设备的内存直接访问来防止此类攻击，除非在特殊情况下，尤其是在电脑被锁定或用户注销时。

每个设备都有一些软件被写入设备的只读存储器 - 基本上是写入系统板上的芯片 - 用于设备的基本功能，例如加载运行所有常用应用的操作系统。 由于该软件很难 (但并非不可能) 修改，我们将其称为 固件。

由于固件首先加载并在操作系统 下运行，因此在操作系统中运行的安全工具和功能很难检测或防御它。 就像一个依赖于良好基础才能确保安全的房屋一样，计算机需要保护其固件，以确保该计算机上的操作系统、应用程序和数据是安全的。

System Guard是一组功能，可帮助确保攻击者无法从不受信任的或恶意固件开始你的设备。

提供固件保护的平台通常也会在不同程度上保护 系统管理模式 (SMM) （一种高特权操作模式）。 可以预期这三个值之一，其数字越大，表示 SMM 保护程度越高：

• 你的设备符合固件保护版本 1：这提供了基础安全缓解措施，帮助 SMM 抵御恶意软件的攻击，并防止机密从 OS (包括 VBS)

• 设备符合固件保护版本 2：除了 固件保护版本 1 外，版本 2 可确保 SMM 无法禁用基于虚拟化的安全 (VBS) 和内核 DMA 保护

• 你的设备满足固件保护版本 3：除了 固件保护版本 2 外，它还阻止访问某些能够破坏 OS (包括 VBS)

本地安全机构 (LSA) 保护是一项 Windows 安全功能，可帮助防止用于登录 Windows 的凭据被盗。   

本地安全机构 (LSA) 是 Windows 中涉及用户身份验证的关键过程。 它负责在登录过程中验证凭据，并管理用于启用服务单一登录的身份验证令牌和票证。 LSA 保护有助于防止不受信任的软件在 LSA 中运行或访问 LSA 内存。  

如何实现管理本地安全机构保护？

可以使用切换按钮打开或关闭 LSA 保护。

更改设置后，必须重新启动才能使其生效。 

如果我的软件不兼容，该怎么办？ 

如果启用了 LSA 保护，并且它阻止将软件加载到 LSA 服务中，则通知指示已阻止的文件。 你可以删除加载文件的软件，或者当该文件被阻止加载到 LSA 时，可以禁用该文件的未来警告。  

使用工作或学校设备时，它会悄悄地登录并访问组织中的各种内容，例如文件、打印机、应用和其他资源。 使该过程安全，但对用户来说简单，意味着你的电脑在任何给定时间都有大量的身份验证令牌。

如果攻击者可以访问这些令牌中的一个或多个，他们也许能够使用这些令牌来访问组织资源 (敏感文件等) 令牌。 Credential Guard 通过将令牌置于受保护的虚拟化环境中来帮助保护这些令牌，只有某些服务在必要时可以访问这些令牌。

驱动程序是一个软件，在此示例中，操作系统 (Windows) ，设备 (（如键盘或网络摄像头）) 相互通信。 当设备希望 Windows 执行某些操作时，它会使用驱动程序发送该请求。 正因为如此，驱动程序在系统中有很多敏感访问权限。

Windows 11包括具有已知安全漏洞、已使用用于对恶意软件进行签名的证书签名或绕过Windows 安全中心模型的驱动程序的阻止列表。

如果打开了内存完整性、智能应用程序控制或 Windows S 模式，则易受攻击的驱动程序阻止列表也将打开。

在这里可以找到有关安全处理器制造商和版本号以及有关安全处理器状态的信息。

在电脑上的 Windows 安全中心应用 中， 选择“ 设备安全性  ”> “安全处理器详细信息 ”或使用以下快捷方式：

安全处理器详细信息

如果安全处理器无法正常工作，可以选择 “安全处理器故障排除”链接以查看任何错误消息和高级选项，或者使用以下快捷方式：

安全处理器故障排除

安全处理器故障排除页提供有关 TPM 的任何相关错误消息。 下面是错误消息和详细信息的列表：

邮件​​	详细信息
安全处理器 (TPM) 需要固件更新。	设备的主板目前似乎不支持 TPM，但固件更新可能会解决此问题。 请与设备制造商联系，了解固件更新是否可用以及如何安装。 固件更新通常是免费的。
TPM 已被禁用，需要注意。	受信任的平台模块可能在系统 BIOS (基本输入/输出系统) 或 UEFI (统一可扩展固件接口) 关闭。 有关如何打开它的说明，请参阅设备制造商的支持文档或联系其技术支持。
TPM 存储不可用。 请清除你的 TPM。	清除 TPM 按钮位于此页上。 在继续操作之前，你需要确保对数据有一个良好的备份。
设备运行状况证明不可用。 请清除你的 TPM。	清除 TPM 按钮位于此页上。 在继续操作之前，你需要确保对数据有一个良好的备份。
设备运行状况证明在此设备上不受支持。	这意味着设备未向我们提供足够的信息，无法确定 TPM 可能无法在设备上正常工作的原因。
TPM 与固件不兼容，可能无法正常工作。	请与设备制造商联系，了解固件更新是否可用以及如何获取和安装。 固件更新通常是免费的。
找不到 TPM 测量启动日志。 重新启动设备。
你的 TPM 存在问题。 重新启动设备。

如果解决错误消息后仍然遇到问题，请联系设备制造商以获取帮助。

选择“清除 TPM”可将你的安全处理器重置为其默认设置。